Le mardi 13 février 2018, l’Assemblée nationale a adopté, en première lecture et à une large majorité, le projet de loi sur la protection des données personnelles, un texte ayant vocation à adapter le droit interne au RGPD et à transposer la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.
Le projet de loi voté par l’Assemblée nationale se compose d’un titre Ier relatif aux dispositions communes au RGPD et à la directive (UE) 2016/680 (qui doit être transposées d’ici le 6 mai 2018), un titre II qui rassemble les différentes marges de manœuvres permises par le règlement, un titre III portant transposition de la directive, un titre IV permettant une habilitation pour procéder notamment aux mesures de coordination dans la loi du 6 janvier 1978, et enfin un titre V contenant des dispositions diverses et finales. Le projet de loi est prévu pour entrer en vigueur le 25 mai 2018.
Conformément au RGPD, ce projet de loi, en son article 9, supprime le régime de déclaration préalable.
Cet article renvoie également à un décret en Conseil d’Etat pour déterminer les catégories de responsables du traitement et les finalités des traitements au vu desquelles ces derniers peuvent être mis en œuvre, lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).
Lors des cas où l’autorisation préalable de la CNIL est nécessaires à la mise en œuvre du traitement (en matière de traitements de données de santé et de traitements régaliens), celle-ci sera réputée accordée en cas de silence de la CNIL, à l’issue d’un délai de réponse qui est de deux mois prolongeable deux mois par décision motivée de son président, ou lorsque l’Institut national des données de santé est saisi (article 13 du projet de loi).
L’article 14 A institue 15 ans comme âge légal minimum pour consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information. Si le mineur est âgé de moins de 15 ans, le traitement ne sera licite que si son consentement est donné conjointement avec celui du titulaire de la responsabilité parentale. De plus, lorsque des données sont collectées auprès d’un mineur de moins de 15 ans, le responsable du traitement transmet au mineur les informations légales « dans un langage clair et facilement accessible ».
Pour rappel, le RGPD avait imposé un âge légal entre 13 et 16 ans, avec 16 ans comme valeur par défaut.
Nous restons dans l’attente du vote de cette loi par le Sénat, le texte ayant été transmis, le 14 février dernier, au palais du Luxembourg.
